戴尔、惠普等设备被指使用过期的OpenSSL版本，易引发供应链攻击

固件安全公司 Binarly指出，分析戴尔、惠普等厂商的固件镜像后发现存在OpenSSL 加密库的过期版本，存在供应链安全风险。

EFI开发包即EDK，是对UEFI的开源实现，用作操作系统和嵌入在设备硬件中固件之间的接口。该固件开发环境目前是第二个迭代版本 (EDK II)，具有自身的加密包 CryptoPkg，后者使用的是OpenSSL 项目的服务。

报告提到，与某厂商相关联的固件镜像中被指出现三个不同的 OpenSSL 版本：0.9.8zb、1.0.0a和1.0.2j，而最后一个版本在2018年发布。另外，其中一个固件模块依赖的是2014年8月4日发布的OpenSSL 版本 0.9.8zb。研究人员指出，“这显然说明第三方依赖中存在的供应链问题，这些依赖似乎从未收到过更新，即使是最严重的安全问题也并未收到更新。”

另外，某厂商和戴尔设备中某些固件包使用的是非常老的2009年11月5日发布的版本 (0.9.8l)，而惠普的固件代码使用的是已存在10年之久的库版本 (0.9.8w)。设备固件使用该库中包的多个OpenSSL版本情况说明了第三方代码依赖可为供应链生态系统带来更多的复杂性。

研究人员还指出，物料清单 (SBOM)中提到的弱点正越来越多地归因于固件中集成编译二进制模块（即闭源）。

研究人员认为，当前业内方式是为不同的模块生成哈希来连接特定的发布版本号，在SBOM层面上连接依赖清单。这种方式适用于开源项目但在闭源生态系统方面总是失败。哈希提供了完整性信息，但无法为闭源项目保证SBOM内容和完整性。因此在二进制层级验证编译代码方面，迫切需要额外的SBOM验证匹配厂商提供的真正的SBOM的第三方依赖信息清单。“信任但验证”的方法是应对SBOM失败和降低供应链风险的最佳方式。